Computer security basics

Польза от такой «модели угроз-уязвимостей» есть разве что до начала использования системы. Уязвимость == угроза для участников процесса разработки, с определенными оговорками. Обнаружение уязвимостей тормозит работу, заставляет менять код, добавлять функционал. Однако полноценной угрозой уязвимость станет только тогда, когда разработчика непосредственно за нее оштрафуют. Это может произойти из-за нарушения KPI, сдвигов срока релиза, придется проводить выплату по bug bounty и т.п. Вот тогда уязвимость полностью совпадает с угрозой с явно определенным ущербом.
Некоторые уязвимости могут продолжать оставаться «угрозами для разработчика» и после начала использования системы – но только в контексте необходимости патчей. Стоимость выпуска патча == угрозе для разработчика, стоимость раскатывания == угрозе для интегратора и т.п. Если же мы представим, что система с момента релиза обновления получать не будет по любой причине (увозится в тайгу, погружается на дно морское, производитель прекращает поддержку), то получается, что угрозы нет?
Для разработчика – действительно нет (если не считать репутацию). Он общение с системой закончил, нет тела – нет дела. А для владельца системы, пользователей, обслуживающий персонал, если таковой имеется, угроза есть (уязвимость-то есть), но ее описание почти не имеет смысла. Потому все, что их волнует – это не причины, а импакт угрозы, и как его дешевле предотвратить.
Если приводить аналогию, то лишь небольшое число людей занимаются изучением причин и многочисленных последствий тектоники литосферных плит. На самом деле никто не знает, почему происходят сейсмические сдвиги. При этом практически все боятся землетрясений и их разрушительных последствий в сейсмоактивных областях планеты.
Давайте предположим, что причина того, что литосфера Земли – пазл с плохо пригнанными краями – нам известна. Повлияет ли это на нашу оценку угроз сейсмоактивности? Конфигурация планеты уже релизнута и плохо поддается патчам – нужно справляться с последствиями, предотвращать катастрофическое течение событий. Причины катастрофы нужно понимать до той степени, в которой это помогает с ней справится.

Модель угроз, рассчитанная на систему в контексте ее использования, сфокусирована на последствиях угроз (тех, которые нарушают цели безопасности). Она может учитывать технические аспекты уязвимостей и групп уязвимостей, пока это важно для того, чтобы предотвратить угрозы или снизить их воздействие. Но она не должна их дублировать.

🤔5👍2

www.tgoop.com/computersecuritybasics/76

1.05K viewsJul 29, 2022 at 13:36

Польза от такой «модели угроз-уязвимостей» есть разве что до начала использования системы. Уязвимость == угроза для участников процесса разработки, с определенными оговорками. Обнаружение уязвимостей тормозит работу, заставляет менять код, добавлять функционал. Однако полноценной угрозой уязвимость станет только тогда, когда разработчика непосредственно за нее оштрафуют. Это может произойти из-за нарушения KPI, сдвигов срока релиза, придется проводить выплату по bug bounty и т.п. Вот тогда уязвимость полностью совпадает с угрозой с явно определенным ущербом.
Некоторые уязвимости могут продолжать оставаться «угрозами для разработчика» и после начала использования системы – но только в контексте необходимости патчей. Стоимость выпуска патча == угрозе для разработчика, стоимость раскатывания == угрозе для интегратора и т.п. Если же мы представим, что система с момента релиза обновления получать не будет по любой причине (увозится в тайгу, погружается на дно морское, производитель прекращает поддержку), то получается, что угрозы нет?
Для разработчика – действительно нет (если не считать репутацию). Он общение с системой закончил, нет тела – нет дела. А для владельца системы, пользователей, обслуживающий персонал, если таковой имеется, угроза есть (уязвимость-то есть), но ее описание почти не имеет смысла. Потому все, что их волнует – это не причины, а импакт угрозы, и как его дешевле предотвратить.
Если приводить аналогию, то лишь небольшое число людей занимаются изучением причин и многочисленных последствий тектоники литосферных плит. На самом деле никто не знает, почему происходят сейсмические сдвиги. При этом практически все боятся землетрясений и их разрушительных последствий в сейсмоактивных областях планеты.
Давайте предположим, что причина того, что литосфера Земли – пазл с плохо пригнанными краями – нам известна. Повлияет ли это на нашу оценку угроз сейсмоактивности? Конфигурация планеты уже релизнута и плохо поддается патчам – нужно справляться с последствиями, предотвращать катастрофическое течение событий. Причины катастрофы нужно понимать до той степени, в которой это помогает с ней справится.

Модель угроз, рассчитанная на систему в контексте ее использования, сфокусирована на последствиях угроз (тех, которые нарушают цели безопасности). Она может учитывать технические аспекты уязвимостей и групп уязвимостей, пока это важно для того, чтобы предотвратить угрозы или снизить их воздействие. Но она не должна их дублировать.

BY Computer security basics